파트너 정보처리 부록

이 파트너 정보처리 부록(“부록” 또는 “DPA“)은 귀하, monday.com 파트너(집합적으로, “귀하“, “귀하의” 또는 “파트너“라고 함)와 monday.com(해당되는 경우) 간에 체결된 파트너십 계약(“계약“)(예: 해당하는 경우 재판매인 계약, 전략적 파트너 계약, 의뢰 계약 등)의 일부를 구성합니다. 이 부록은 귀하의 이익을 위해 그리고 파트너 계열사의 대리인으로서 행위하는 귀하와 당사의 이익을 위해 그리고 각 monday.com 계열사의 대리인으로서 행위하는 monday.com 주식회사 (“monday.com“, “회사“, “당사” 또는 “우리의“) 간에 체결됩니다.

계약의 틀에서 monday.com과 협력함으로써, 파트너는 이 DPA를 수락하며 귀하는 파트너를 이 DPA에 구속할 전적인 권한이 있음을 진술하고 보증합니다. 여기에 명시된 상호 의무를 고려하여, 당사자는 아래에 명시된 계약 및 조건을 계약에 필수적인 부록으로 추가하는 데 동의합니다.

이 DPA의 특정 조항과 계약 조항이 충돌하는 경우 이 DPA의 조항이 개인정보처리와 관련하여서만 충돌하는 계약 조항보다 우선합니다.

1. 정의:

이 DPA의 다른 부분에서 정의된 대문자로 된 용어 이외에 다음 용어는 각각 반대되는 의미를 갖습니다.

“계열사”

직접적 또는 간접적으로 지배하거나, 지배를 받거나, 대상 기관과 공통 지배 하에 있는 모든 기관을 의미합니다. 이 정의의 목적상 “지배”는 직접 또는 간접 소유권 또는 최소 50% 이상의 지배를 의미합니다.

“준거법“

(해당되는 경우) GDPR, 영국의 정보보호법 2018(Data Protection Act 2018) 및 프라이버시 전자통신 규정(Privacy and Electronic Communications Regulations 2003), 이스라엘 개인정보보호법 5471-1981(Israeli Protection of Privacy Law 5471-1981), 캘리포니아소비자프라이버시법(CCPA)과 이에 따라 공표된 모든 규정, 그리고 해당 법률이 파트너가 처리할 개인정보에 적용되는 범위 내에서 전 세계의 동등한 법률을 포함해서 해당되는 모든 정보보호, 개인정보보호 및 전자마케팅 법률을 의미합니다.

“CCPA”

캘리포니아 주 민법전(Cal. Civ. Code) §§ 1798.100의 캘리포니아 소비자프라이버시법(California Consumer Privacy Act of 2018)을 의미합니다.

“위원회“, “정보주체“, “회원국“, “개인정보침해“, “처리“, “통제자“, “처리자” 및 “감독기관“이라는 용어는 

개인정보보호규정(GDPR)에서와 동일한 의미를 갖습니다. “사업체”, “사업 목적”, “소비자” 및 “서비스 제공자”라는 용어는 캘리포니아소비자프라이버시법(CCPA)에서와 동일한 의미를 갖습니다.

“GDPR”

EU 일반 개인정보보호법 2016/679 및 후속 수정 조항, 대체 조항, 또는 보완 조항을 의미합니다.

“개인정보”

파트너 서비스에 따라 또는 이와 관련하여 monday.com을 대신하여 단독으로 파트너가 처리하는, 식별되거나 식별 가능한 자연인을 식별하거나 이와 관련되거나, 이를 설명하거나, 이와 연관될 수 있거나, 직접적 또는 간접적으로, 합리적으로 연결될 수 있는 모든 정보를 의미합니다.

“표준계약조항”

1995년 EU 개인정보보호지침(Directive 95/46/EC) 또는 GDPR(해당되는 경우) 및 모든 관련 부속서에 따라 유럽 집행위원회가 수시로 채택하는 제3국에 설립된 처리자 또는 하위 처리자에게 개인정보를 전송하기 위한 표준계약조항 및 이 DPA의 필수적인 부분을 형성하고 때때로 업데이트될 수 있는 부속서 2로 첨부되는 모든 관련 부속서 및 별첨을 의미합니다.

“하위 처리자“

파트너 서비스에 따라 또는 이와 관련하여 개인정보를 처리하기 위해 파트너가 직접 고용한 제3자를 의미합니다. 이 용어에는 파트너의 직원 또는 도급업자가 포함되지 않습니다.

“파트너 서비스“

계약, 구매 주문, 라이선스 또는 구독에 따라 파트너가 monday.com에 제공하는 모든 서비스를 의미합니다.

2. 처리 범위

2.1 파트너는 여기에 첨부된 부속서 1(개인정보처리 세부 사항)에 설명된 대로 개인정보를 처리해야 합니다.

2.2 파트너는 해당하는 경우 해당 개인정보의 통제자 또는 처리자인 monday.com을 대신하여 행위하는 처리자 또는 하위 처리자로서 개인정보를 처리해야 합니다. CCPA(해당되는 범위 내에서)의 목적을 위해, 파트너는 “monday.com의 서비스 제공자”이고 monday.com은 해당되는 경우 “서비스 제공자” 또는 사업체입니다.

2.3 monday.com은 파트너 서비스를 제공하는 제한된 목적과 monday.com의 이익을 위해서만 개인정보를 처리하도록 파트너에게 지시합니다.

2.4 파트너는 (i) 이 DPA 의 조건과 (ii) 계약에 의거하고 (iii) 준거법에 따라 처리가 요구되지 않는 한 monday.com의 문서화된 지침에만 따라(이 경우 파트너는 법적으로 금지되지 않는 한 해당 요건을 사전에 monday.com에 통지해야 함) (iv) 모든 준거법을 준수하여 개인정보를 처리해야 합니다.

2.5 파트너는 더 이상 monday.com의 지침이나 이 DPA에 따른 의무를 충족할 수 없다고 판단하는 경우 과도한 지연 없이 monday.com에 통지해야 합니다.

3.         하위 처리

3.1 파트너는 이러한 각 하도급 활동 및 제3자와 관련하여 monday.com의 사전 서면 동의 없이 개인정보처리를 제3자에게 하도급할 수 없습니다. 전술한 내용에도 불구하고, monday.com은 파트너가 다음 조건에 따라 계약에 따른 파트너의 의무를 이행하는 데 꼭 필요한 대로 개인정보처리의 제한된 목적을 위해 하위 처리자를 고용할 수 있는 권한을 파트너에게 부여합니다.

3.1.1    monday.com에 최소 30일 전에 하위 처리자를 고용하거나 교체하려는 의도를 서면으로 통지합니다. 해당 통지는 dpo@monday.com으로 발송해야 하며 최소한 (i) 하위 처리자의 이름, (ii) 해당 하위 처리자가 처리하는 개인정보의 유형 및 목적, (iii) 해당 하위 처리자가 개인정보를 처리해야 하는 정보주체에 대한 설명, (iv) 해당 하위 처리자가 수행하는 데이터 처리 위치를 포함해야 합니다.

3.1.2    해당 하위 처리자가 이 DPA 및 준거법의 요건을 충족할 수 있는지 확인하는 데 필요한 수준의 실사를 수행합니다.

3.1.3. 파트너와 하위 처리자 간의 합의가 하위 처리자에 대한 구속력이 있는 서면 계약의 지배를 받도록 하고, 해당 계약이 (i) 하위 처리자가 이 DPA 또는 이 DPA에 준하는 부담을 주는 기준에 따라 개인정보를 처리하도록 요구하고, (ii) 파트너와 하위 처리자 간의 계약의 일부를 구성하고 유럽경제지역(EEA) 외부에서 해당 하위 처리자가 처리할 수 있는 개인정보의 범위 내에서 파트너와 하위 처리자 모두에 대해 구속력을 갖는 표준계약조항을 포함하고 이에 의존합니다.

3.2 monday.com은 개인정보보호, 정보보호 또는 보안상의 이유로 하위 처리자 고용을 반대할 수 있습니다. 그러한 경우 파트너는 monday.com에 파트너 서비스를 제공하기 위해 하위 처리자를 고용해서는 안 되며 이를 어길 시 monday.com은 즉시 효력을 가지며 위약금 없이 계약을 해지하거나 일시 중지할 수 있습니다.

3.3 파트너는 개인정보와 관련된 하위 처리자의 의무 및 처리 활동의 수행에 대해 항상 monday.com에 대해 전적인 책임을 집니다.

4.         파트너 직원

4.1       준거법에서 허용하는 범위 내에서, 파트너는 개인정보에 접속할 수 있는 모든 파트너 직원 또는 도급업체(“파트너 직원”)에 대한 배경 조사를 적절히 수행한 후 해당 접속을 허용해야 합니다. 배경 조사에서 파트너 직원이 개인정보에 접속하기에 적합하지 않은 것으로 드러나면, 파트너는 파트너 직원에게 개인정보 접속 권한을 제공해서는 안 됩니다.

4.2       파트너는 모든 파트너 직원이 (i) monday.com에 파트너 서비스를 제공하고 준거법을 준수하는데 필요한 정도로만 접속 권한이 있고, (ii) 이 DPA에 준하는 부담을 주는 비공개 유지 요건에 계약상 구속되며, (iii) 적절한 개인정보보호 및 보안 교육을 받고, (iv) 개인정보의 비공개 성격에 대해 통지를 받고 이를 비공개로 유지해야 하며, (v) 이 DPA에 따른 파트너의 임무 및 의무를 숙지하도록 보장해야 합니다.

5.         보안

5.1       파트너는, 우발적이거나 불법적이거나 [sic]우발적인 손실, 변경, 파괴, 무단 공개 또는 무단 접속으로부터 개인정보를 보호하기 위해, 그리고 특히 처리가, 예상되는 모든 불법적인 처리 형태에 대해 네트워크를 통한 정보 전송에 관련된 경우, 모든 적절한 기술적, 물리적 및 조직적 조치를 구현했으며 유지할 것임을 진술하고 보증합니다.

5.2       파트너는 최신 기술 및 구현 비용을 고려하여 해당 조치가 처리로 인한 위험(개인정보 침해의 위험 포함)과 보호할 개인정보의 성격에 적절한 보안 수준을 보장한다는 데 동의하고 보증하며, 제한 없이 해당 조치에 다음 사항이 포함되도록 해야 합니다.

5.2.1    전송 중 및 저장되지 않은 개인정보의 가명처리 또는 암호처리

5.2.2    처리 시스템 및 서비스의 지속적인 비밀성, 무결성, 가용성 및 탄력성을 보장하는 기능

5.2.3    물리적 또는 기술적 사고가 발생한 경우 시기 적절하게 개인정보에 대한 가용성 및 접속을 복원하는 기능

5.2.4    처리의 보안을 보장하기 위한 기술적 및 조직적 조치의 효율성을 정기적으로 테스트, 사정 및 평가하는 과정

5.3 파트너는 monday.com을 대신하여 수행한 처리 활동에 대한 기록을 보관해야 하며 해당 기록에는 최소한 다음 사항을 포함해야 합니다.

5.3.1    개인정보 처리자로서의 파트너, 대리인, 하위 처리자, 데이터 보호 담당자 및 개인정보에 접속할 수 있는 파트너 직원의 세부 사항

5.3.2    수행된 처리 활동의 범주

국가 간 데이터 전송에 관한 정보(이 DPA의 섹션 11에 추가로 명시됨)(있는 경우)

5.3.3    처리된 개인정보와 관련하여 구현된 기술적 및 조직적 보안 조치에 대한 설명.

5.4       섹션 10에 따른 monday.com의 감사권을 훼손하지 않고, monday.com은 언제든지 이 섹션 5에 따라 파트너가 유지관리하는 기록을 검사할 권리를 보유합니다.

6.         정보주체 권리

6.1       파트너는 EU 정보보호법 및 CCPA 등 준거법에 따라 정보주체 권리 또는 소비자 권리(개인정보처리에 관한 불만 포함)를 행사하라는 요청에 대응하는데 있어 monday.com을합리적으로 지원해야 합니다(“정보주체의 요청“)

6.2       파트너는,

6.2.1    개인정보와 관련하여 정보주체의 요청을 받는 경우 monday.com에 즉시 통지해야 합니다.

6.2.2    정보주체의 요청과 관련하여 전적으로 협조하고 지원합니다.

6.2.3    monday.com의 문서화된 지침 또는 파트너가 적용되는 준거법에서 엄격하게 요구하는 경우를 제외하고 정보주체의 요청에 대응하지 않도록 합니다.

6.2.4    정보주체의 요청에 관한 전자 기록을 유지 관리합니다(준거법에 따름).

7.         법적 공개 및 개인정보 침해

7.1       파트너는 다음 사항을 알게 된 후 24시간 이내에 monday.com에 통지해야 합니다.

7.1.1    파트너가 monday.com에 대한 법 집행 조사를 비공개로 유지하도록 특별히 요구하는 형법에 따라 금지되지 않는 한, 감독기관 또는 기타 법 집행기관이나 법원의 개인정보 공개 요청

7.1.2    개인정보에 영향을 미치는 것으로 합리적으로 의심되거나 알려진 모든 개인정보 침해 파트너는 monday.com이 준거법에 따라 정보주체 또는 정보보호 감독기관에 개인정보 침해를 보고하거나 알릴 의무를 충족할 수 있도록 monday.com에 충분한 정보를 제공해야 합니다. 법에서 요구하는 경우를 제외하고, 파트너는 monday.com의 재량에 따라 사례별로 제공될 수 있는 monday.com의 사전 서면 동의 없이 개인정보에 영향을 미치는 개인정보 침해에 대해 공개 진술 또는 기타 공개를 해서는 안 됩니다.

7.2       파트너는 가능한 한 다음 세부 사항을 monday.com에 제공해야 합니다.

7.2.1    관련 정보주체의 범주, 관련 개인정보 및 정보 기록의 범주를 포함한 개인정보 침해의 성격

7.2.2    개인정보 침해 문제를 해결하기 위해 monday.com과 협력하여 파트너가 제안하거나 취한 조치

7.2.3    monday.com이 개인정보 침해의 가능한 부작용을 완화하기 위해 취할 수 있는 조치

7.3       파트너는 의심되거나 실제적인 개인정보 침해를 조사하고 관련 피해를 완화하는 데 필요한 모든 조치를 취해야 합니다.

7.4       파트너는 monday.com과 완전히 협력하고 monday.com에서 지시하는 대로 이러한 각 개인정보 침해의 조사, 완화 및 회복을 지원하는 조치를 취해야 합니다.

8.         개인정보의 삭제 또는 반환

8.1       파트너 서비스 제공이 만료되거나 종료되면, 파트너는, monday.com의 선택으로, 준거법에 따라 보관이 요구되는 경우를 제외하고 자신 또는 하위 처리자가 소유하거나 통제하는 모든 개인정보 사본을 즉시 삭제하거나 반환해야 합니다. 그러한 경우 파트너는 개인정보의 비밀성을 보장하고 더 이상 개인정보를 적극적으로 처리하지 않을 것이며, 정보를 반환하거나 파기하는 법적 의무가 더 이상 유효하지 않을 때 monday.com이 요청한 대로 개인정보의 반환 또는 파기를 보장할 것임을 보증합니다.

8.2       monday.com의 사전 서면 요청에 따라, 파트너의 최고 개인정보보호 책임자 또는 이에 상응하는 사람은 파트너가 이 섹션을 완전히 준수했다는 서면 증명서를 monday.com에 제공해야 합니다.

9.         정보 및 지원 제공

파트너는 정보보호 영향 평가, 관련 데이터 보호 당국에 대한 사전 협의 및 GDPR, CCPA 및 기타 준거법에 따른 monday.com의 의무 이행과 관련된 기타 지원에 대해 monday.com에 협조하고 합리적으로 지원해야 합니다. 해당 지원 범위는 파트너의 개인정보처리로 제한됩니다.

10.       감사권

10.1     파트너는 서면 요청 시 업계 표준 제3자 감사 인증을 포함하여 이 DPA 및 준거법의 준수를 입증하는 데 필요한 모든 정보를 monday.com에 즉시 제공해야 합니다.

10.2     파트너는 monday.com 또는 monday.com에서 위임한 감사인의 검사를 포함하여 감사를 허용하고 이에 기여해야 합니다. 어떠한 경우에도 제3자 감사인은 비공개 유지 의무가 적용됩니다. 파트너는 감사인이 비밀성, 보안을 보장하지 않거나 파트너의 사업을 위험에 빠뜨린다고 합리적으로 판단한 경우 감사인 선정에 반대할 수 있습니다.

11.       개인정보의 국외 이전

11.1     개인정보는 EU 회원국, 유럽경제지역 세 회원국(노르웨이, 리히텐슈타인, 아이슬란드, 집합적으로 “EEA“), 스위스 및 영국(“영국“)에서, EEA, 유럽 연합, 회원국 또는 유럽 집행위원회, 스위스 또는 영국의 정보보호 유관기관이 발표한 적정성 결정(“적정성 결정“)에 따라 적절한 수준의 정보보호를 제공하는 국가로 해당되는 경우 추가 보호 장치가 필요 없이 전송될 수 있습니다.

11.2           처리자에 의한 개인정보처리가 EEA, 스위스 또는 영국에서 관련 적정성 결정의 대상이 아닌 다른 국가로의 전송(직접 또는 전달을 통한)을 포함하고, 해당 전송이, 파트너가 EEA, 스위스 또는 영국 외부로 개인정보를 합법적으로 전송(GDPR 또는 이에 상응하는 스위스 또는 영국 법률에 정의됨)하기 위해 채택할 수 있는 대체 승인된 준수 메커니즘을 통해 수행되지 않을 경우, 표준계약조항이 적용됩니다.

11.3     표준계약조항에 따라 개인정보를 전송하는 경우, monday.com 및 파트너가 이 DPA를 실행하는 동시에 이를 완료하고 서명해야 합니다. 여기에서 “정보 수령인“는 파트너이고 “정보 제공자“는 monday.com입니다. 파트너는 해당 개인정보처리에 관여하는 각 하위 처리자가 정보 수령인의 의무를 준수하고 monday.com이 해당 표준계약조항에 따라 정보 제공자의 의무를 준수하도록 보장해야 합니다. monday.com에서 요청하는 경우 파트너는 하위 처리자(들)가 monday.com과 직접 표준계약조항을 체결하도록 보장하고 조달합니다.

11.4     표준계약조항은 유럽경제지역 외부에 있는 개인과 관련된 개인정보 또는 유럽경제지역 외부로 직접 또는 후속 전송을 통해 전송되지 않는 개인정보에는 적용되지 않습니다. EEA 이외의 다른 국가에서 발생하는 데이터 전송의 경우 파트너는 개인정보가 유래된 지역의 모든 준거법을 준수해야 합니다.

11.5     파트너는 개인정보의 국가 간 전송의 경우 monday.com이 의무를 준수할 수 있도록 모든 관련 정보를 monday.com에 제공해야 합니다. monday.com은 개인 정보 보호 및 보안을 이유로 이 섹션 11에 따른 개인정보 전송에 반대할 수 있습니다. 이러한 경우 파트너는 개인정보의 전송을 실행하지 않을 시 monday.com은 위약금 없이 즉시 효력을 발휘하여 파트너 서비스 제공을 해지하거나 중단할 수 있습니다.

12.       CCPA 관리 표준

파트너는 계약에 따라 파트너가 monday.com에 제공하는 서비스 또는 기타 항목에 대한 대가로 개인정보(CCPA에 정의된 용어로)를 수신하거나 처리하지 않음을 인정하고 확언합니다. 파트너는 monday.com을 대신하여 처리되는 개인 정보와 관련하여 어떠한 권리나 혜택을 가지거나 파생시키거나 행사할 수 없으며, 계약 및 이 DPA에 명시된 대로 개인 정보가 제공된 목적을 위해서만 개인 정보를 사용 및 공개할 수 있습니다. 파트너는, CCPA의 규칙과 요건, 정의를 이해하고, monday.com의 사전 서면 동의 없이는 처리된 모든 개인 정보를 판매(CCPA에 정의된 대로)하지 않으며, CCPA에 따라 해당 개인정보를 “판매”하는 자격을 갖추기 위해 이 계약 또는 이 DPA에 따라 파트너에게 또는 파트너가 개인정보를 전송하게 할 수 있는 조치를 취하지 않을 것을 진술하고 증명합니다.

13. 배상

파트너는 (i) 파트너의 불법적이거나 승인되지 않은 개인정보 처리, 파기 또는 손상 또는 (ii) 파트너(파트너 직원 및 파트너의 하위 처리자 포함)가 이 DPA, 계약 또는 이 DPA에 따라 monday.com이 서면으로 제공한 해당 처리 관련 추가 지침에 따른 의무를 준수하지 않는 것과 관련하여 발생하는 모든 청구, 법적 절차 및 모든 책임, 손실, 비용, 벌금 및 경비(합리적인 법률 비용 포함)에 대해 monday.com, 그 계열사 및 해당 임원, 이사 및 직원에게 배상하고 방어합니다.

14.       기타조항

14.1  분리: 이 DPA의 조항이 유효하지 않거나 시행할 수 없는 것으로 결정되더라도 이 DPA의 나머지 부분은 계속 유효합니다. 유효하지 않거나 집행할 수 없는 조항은 (i) 당사자의 의도를 최대한 근접하게 유지하면서 유효성과 집행 가능성을 보장하기 위해 필요한 만큼 수정되거나, 이것이 불가능한 경우 (ii) 유효하지 않거나 집행할 수 없는 부분이 여기에 포함된 적이 없는 것처럼 해석됩니다.

14.2  우선 순위: 이 DPA의 조건과 당사자를 구속하는 다른 문서가 충돌하는 경우, 해당 문서의 조건은 (i) 위의 섹션 11에 따라 적용되는 범위 내에서 표준계약조항, (ii) 이 DPA, (iii) 파트너 서비스가 제공되는 데 따른 계약, 구매 주문, 라이선스 또는 구독 약관의 순서로 해석됩니다.

14.3  파트너에 의한 변경: 파트너는 정보보호법의 변경 또는 권한 있는 당국의 결정의 결과로 해당 정보보호법을 위반하지 않고 개인정보를 처리하는 데(또는 계속 처리하는 데) 요구되는 경우, 최소 사십오(45) 역일 전에 monday.com에 서면으로 통지하여 이 DPA의 변경을 요청할 수 있습니다. 해당 통지에 따라 당사자는 합리적으로 실행 가능한 한 빨리 파트너의 통지에서 확인된 법적 요건을 해결하도록 고안된 변경 사항 또는 대안적 변경 사항에 동의하고 이를 이행할 목적으로 제안된 변경 사항을 즉시 논의하고 선의로 협상해야 합니다.

14.4  monday.com에 의한 변경. monday.com은 monday.com의 재량에 따라 합리적으로 결정되는대로 해당 정보보호법을 위반하지 않고 개인정보를 처리(또는 계속 처리)하는 데 필요하거나 monday.com의 이익을 보호하기 위해 최소 삼십(30) 역일 전에 파트너에게 서면으로 통지하여 이 DPA의 조건 또는 이 DPA의 섹션 11에 따라 적용되는 표준계약조항을 변경할 수 있습니다. 파트너가 통지 기간 내에 전술한 변경 사항에 반대하는 경우, 당사자는 합리적으로 실행 가능한 한 빨리 monday.com의 통지에서 확인된 요건을 해결하도록 고안된 해당 변경 사항 또는 대안적 변경 사항에 동의하고 이를 이행할 목적으로 제안된 변경 사항을 즉시 논의하고 선의로 협상해야 합니다. 당사자가 해당 통지 후 30일 이내에 해당 합의에 도달할 수 없는 경우 monday.com은 상대방에 대한 서면 통지를 통해 제안된 변경 사항(또는 그것의 부재)의 영향을 받는 파트너 서비스와 관련된 범위 내에서 즉시 효력이 있고 위약금 없이 계약을 해지할 수 있습니다.

****

DPA의 부속서 1

개인정보처리의 세부 사항

이 DPA 부속서 1에는 개인정보 처리에 대한 특정 세부 사항이 포함되어 있습니다.

파트너 서비스에 대한 설명: 파트너는 monday.com 제품 및 서비스를 마케팅, 배급, 판매하고 monday.com 제품 및 서비스 및 계약에 명시된 기타 서비스와 관련된 내부 지식, 모범 관행, 지원 및 교육을 개발하기 위해 monday.com과 협력해야 합니다.

처리 기간: 파트너 서비스가 제공되는 기간.

처리의 성격 및 목적: 파트너는 monday.com 개인정보 처리를 수반하는 monday.com에 관여합니다. 관여의 범위는 계약에 명시되어 있으며, monday.com 개인정보는 파트너 및 파트너 계열사가 계약에 따른 의무를 이행하고 계약 및 이 부록의 조건을 준수하도록 처리됩니다.

처리되는 개인정보 유형: monday.com은 이름, 성, 사용자 이름, 주소, 전화 번호, 이메일 주소, 직위, 사진, 사용자 소셜 네트워크 ID, 온라인 식별 및 계정 이름과 기타 개인정보를 포함한 사업 정보와 monday.com이 파트너에게 제공하기로 결정한 정보와 같은 범주의 개인정보를 포함할 수 있는 개인정보를 파트너에게 제공할 수 있습니다.

정보주체의 범주:

monday.com은 다음 범주의 정보주체와 관련된 개인정보를 포함할 수 있는 개인정보를 파트너에게 제공할 수 있습니다.

·         · monday.com 직원, 대리인, 자문위원 또는 프리랜서

·         · monday.com 잠재 고객, 고객, 사업 파트너, 납품업체

·         · monday.com이 파트너와 공유하기로 결정한 기타 제3자

파트너의 하위 처리자 명부: 계약에 명시된대로 또는 계약 실행일로부터 7일 이내에 monday.com  legal@monday.com에 별도로 제공됩니다.

부속서 2: 표준계약조항

(통제자에서 처리자로)

monday.com 정보처리 부록, 또는 모든 부속서, 별표, 별첨을 포함하여 정보 제공자를 대신하여 정보 수령인이 개인 정보를 처리하는 것을 효과적으로 규율하는 기타 계약이나 부록(“DPA“)에 정의된 정보 제공자 및 정보 수령인은, 각각 “당사자”, 함께 “당사자들”로서, 별첨1에 명시된 개인정보의 정보 제공자가 정보 수령인에게 전송할 때 개인정보보호 및 개인의 기본 권리와 자유에 관한 적절한 보호 장치를 추가하기 위해 다음 계약 조항(“조항“)에 동의했습니다.

제1조 – 정의

이 조항의 목적을 위해-

(a)        ‘개인정보’, ‘정보의 특수 범주’, ‘처리’, ‘통제자’, ‘처리자’, ‘정보주체’ 및 ‘감독기관’은 1995년 10월 24일 개인정보처리 및 해당 정보의 자유로운 이동과 관련된 개인 보호에 관한 유럽 의회 및 이사회의 EU 개인정보보호지침(Directive 95/46/EC)에서와 동일한 의미를 갖습니다.

(b)        ‘정보 제공자’는 개인정보를 전송하는 통제자를 의미합니다.

(c)        ‘정보 수령인’은 전송 후 정보 제공자의 지시와 조항의 조건에 따라 정보 제공자를 대신하여 처리하도록 의도된 개인정보를 정보 제공자로부터 수령하는 데 동의하고, 1995년 EU 개인정보보호지침(Directive 95/46/EC) 25(1)조의 의미 내에서 적절한 보호를 보장하는 제3국 제도의 적용을 받지 않는 처리자를 의미합니다.

(d)        ‘하위 처리자’는, 정보 수령인 또는 정보 수령인의 다른 하위 처리자가 고용하고, 전송 후 정보 제공자의 지시, 조항의 조건 및 서면 하도급 계약의 조건에 따라 정보 제공자를 대신하여 처리하도록 배타적으로 의도된 개인정보를 정보 제공자 또는 정보 제공자의 다른 하위 처리자로부터 수령하는데 동의한 처리자를 의미합니다.

(e)        ‘해당 정보보호법’은 개인의 기본 권리와 자유, 특히 정보 제공자가 설립된 회원국의 정보 통제자에 적용되는 개인정보처리와 관련한 개인정보보호에 대한 권리를 보호하는 법률을 의미합니다.

(f)         ‘기술적 및 조직적 보안 조치’는 특히 처리가 네트워크를 통한 데이터 전송을 수반하는 경우, 우발적 또는 불법적 파괴 또는 우발적 손실, 변경, 무단 공개 또는 접속, 그리고 기타 모든 불법적인 형태의 처리로부터 개인정보를 보호하기 위한 조치를 의미합니다.

제2조 – 양도내용

전송에 대한 세부 사항 및 특히 해당되는 경우 개인정보의 특수 범주는 조항의 필수적인 부분을 형성하는 부속서 1에 명시되어 있습니다.

제3조 – 제3자 수익자 조항

1.      정보주체는 제3자 수익자로서 정보 제공자에 대해 이 조항, 4(b)~(i)조, 5(a)~(e), (g)~(j)조, 6(1)~( 2), 7조, 8(2)조, 9~12조를 강제할 수 있습니다.

2.      정보주체는, 정보 제공자가 사실상 사라졌거나 법률상 더 이상 존재하지 않게 된 경우 정보 제공자의 권리와 의무를 부담하게 된 승계 법인이 계약 또는 법의 운용에 의해 정보 제공자의 모든 법적 의무를 부담하지 않는 한, 정보 수령인에 대해 이 조항, 5(a)~(e), (g)조, 6조, 7조, 8(2)조, 9~12조를 강제할 수 있으며, 승계의 결과 승계 법인이 정보 제공자의 권리와 의무를 부담하게 될 경우 해당 기관에 대해 위 조항들을 강제할 수 있습니다.

3.      정보주체는, 정보 제공자와 정보 수령인이 모두 사실상 사라졌거나 법률상 더 이상 존재하지 않게 되거나 지급 불능인 경우 정보 제공자의 권리와 의무를 부담하게 된 승계 법인이 계약 또는 법의 운용에 의해 정보 제공자의 모든 법적 의무를 부담하지 않는 한, 하위 처리자에 대해 이 조항, 5(a)~(e), (g)조, 6조, 7조, 8(2)조, 9~12조를 강제할 수 있으며, 승계의 결과 승계 법인이 정보 제공자의 권리와 의무를 부담하게 될 경우 해당 기관에 대해 위 조항들을 강제할 수 있습니다. 하위 처리자의 해당 제3자 책임은 조항에 따른 자체 처리 작업으로 제한됩니다.

4.      당사자는 정보주체가 명시적으로 원하고 국내법에서 허용하는 경우 협회 또는 기타 기관이 정보주체를 대표하는 것을 반대하지 않습니다.

제4조 – 정보 제공자의 의무

정보 제공자는 다음 사항에 동의하고 이를 보증합니다.

(a)   전송 자체를 포함하여 개인정보가 해당 정보보호법의 관련 조항에 따라 처리되어 왔고 앞으로도 그럴 것이이며(해당되는 경우 정보 제공자가 설립된 회원국의 관련 당국에 통지됨), 해당 국가의 관련 규정을 위반하지 않음.

(b) 정보 수령인에게 개인정보처리 서비스 기간 동안 해당 정보보호법 및 조항에 따라 정보 제공자를 대신하여 전송된 개인정보를 처리하도록 지시하였고 해당 기간 동안 지시할 것임.

(c) 정보 수령인은 이 계약의 별첨 2에 명시된 기술적 및 조직적 보안 조치와 관련하여 충분한 보증을 제공함.

(d) 해당 정보보호법의 요건을 평가한 후, 보안 조치가, 특히 처리가 네트워크를 통한 데이터 전송 및 기타 모든 불법적인 형태의 처리를 수반할 경우 우발적 또는 불법적 파괴 또는 우발적 손실, 변경, 무단 공개 또는 접속으로부터, 그리고 기타 모든 불법적 형태의 처리로부터 개인정보를 보호하는 데 적절하며, 해당 조치는 최신 기술 및 구현 비용을 고려하여 처리 및 보호할 정보의 특성으로 인한 위험에 적절한 보안 수준을 보장함.

(e) 보안 조치가 준수되도록 보장함.

(f) 전송이 특정 범주의 데이터를 포함하는 경우, 정보주체는 전송 전 또는 전송 후 가능한 한 빨리 해당 데이터가 1995년 EU 개인정보보호지침(Directive 95/46/EC)의 의미 내에서 적절한 보호를 제공하지 않는 제3국으로 전송될 수 있다는 사실을 통지받았거나 통지받을 것임.

(g) 정보 제공자가 전송을 계속하거나 중단을 해제하기로 결정한 경우 5(b) 및 8(3)조에 따라 정보 수령인 또는 하위 처리자로부터 수령한 모든 통지를 정보보호 감독기관에 전달함.

(h) 조항 또는 계약에 상업 정보가 포함되어 있지 않은 경우 및 그럴 경우 해당 상업 정보를 삭제하여, 별첨 2를 제외한 조항의 사본, 보안 조치에 대한 요약 설명 및 조항에 따라 작성해야 하는 하위 처리 서비스 계약서 사본을 요청시 정보주체에게 제공함.

(i)  하위 처리의 경우, 처리 활동은 조항에 따라 정보 수령인과 최소한 동일한 수준의 개인정보 및 정보주체의 권리 보호를 제공하는 하위 처리자에 의해 11조에 따라 수행됨.

(j)  4(a)~(i)조가 준수되도록 보장함.

제5조 – 정보 수령인의 의무

정보 수령인는 다음 사항에 동의하고 이를 보증합니다.

(a) 정보 제공자를 대신하여 해당 지침 및 조항에 따라 개인정보를 처리하고, 어떤 이유로든 그렇게 준수할 수 없는 경우 정보 제공자에게 준수할 수 없음을 즉시 알리는 데 동의하며, 이 경우 정보 제공자는 데이터 전송을 일시 중지하거나 계약을 해지할 수 있음.

(b) 적용되는 법률이 정보 제공자로부터 받은 지시와 계약에 따른 의무를 이행하는 것을 방해한다고 판단할 이유가 없으며, 이 법률이 변경되어 조항에서 제공하는 보증 및 의무에 상당한 악영향을 미치는 경우 변경 사항을 인지하는 즉시 정보 제공자에게 신속히 통지하고, 이 경우 정보 제공자는 데이터 전송을 중지 또는 계약을 해지할 수 있음.

(c) 전송된 개인정보를 처리하기 전에 별첨 2에 명시된 기술적 및 조직적 보안 조치를 구현했음.

(d) 정보 제공자에게 다음 사항을 즉시 통지함.

(i)           형법에 따른 법 집행 수사의 비밀 유지 금지와 같이 달리 금지되지 않는 한 법 집행 기관의 개인정보 공개에 대한 법적 구속력 있는 요청

(ii)          우발적 또는 무단 접속

(iii)         달리 승인된 경우를 제외하고 해당 요청에 대응하고 않고 정보주체로부터 직접 받은 요청

(e) 전송 대상인 개인정보의 처리와 관련하여, 정보 제공자의 모든 문의를 신속하고 적절하게 처리하고, 전송된 정보의 처리와 관련된 감독기관의 권고사항을 준수함.

(f) 정보 제공자의 요청에 따라, 정보 제공자, 또는 독립적인 구성원으로 구성되고 비공개 유지 의무가 적용되는 전문 자격을 보유하며, 해당되는 경우 감독기관과의 합의를 통해 정보 제공자가 선택한 검사 기관이 수행하는, 해당 조항이 적용되는 처리 활동 감사를 위해 정보처리 설비를 제출함.

(g) 조항이나 계약에 상업 정보가 포함되어 있지 않은 경우 및 그럴 경우 해당 상업 정보를 삭제하여, 정보주체가 정보 제공자로부터 사본을 얻을 수 없는 경우 보안 조치에 대한 요약 설명으로 대체되는 별첨 2를 제외하고, 요청 시 정보주체에게 조항 또는 하위 처리 서비스 계약서 사본을 제공함.

(h) 하위 처리의 경우 사전에 정보 제공자에게 알리고 사전 서면 동의를 얻었음.

(i)  하위 처리자에 의한 처리 서비스는 11조에 따라 수행됨.

(j)  해당 조항에 따라 체결한 하위 처리자 계약의 사본을 정보 제공자에게 즉시 발송함.

제6조 – 책임

1.      당사자는 당사자 또는 하위 처리자가 3조 또는 11조에 언급된 의무 위반의 결과로 피해를 입은 모든 정보주체가 정보 제공자로부터 입은 피해에 대해 보상을 받을 자격이 있다는 데 동의합니다.

2.      정보주체가, 정보 제공자가 사실상 사라졌거나 법적으로 존재하지 않거나 지급 불능 상태가 되어서, 3조 또는 11조에 언급된 의무를 정보 수령인 또는 그 하위 처리자가 위반한 것에 대해 정보 제공자를 상대로 1항에 따른 배상 청구를 제기할 수 없는 경우, 정보 수령인은, 정보주체가 정보 수령인을 정보 제공자인 것처럼 여겨 정보 수령인을 상대로 배상 청구를 제기할 수 있다는 데 동의합니다. 단, 승계 법인이 법률 시행에 의한 계약에 따라 정보 제공자의 모든 법적 의무를 부담한 경우는 제외하며 해당 경우 정보주체는 해당 법인을 상대로 자신의 권리를 행사할 수 있습니다.

정보 수령인은 자신의 책임을 피하기 위해 하위 처리자가 의무를 위반하는 것에 의존할 수 없습니다.

3.      정보주체가 정보 제공자 및 정보 수령인 모두가 사실상 사라졌거나 법적으로 존재하지 않거나 지급 불능 상태가 되어서, 3조 또는 11조에 언급된 의무 위반으로 인해 1항 및 2항에 언급된 정보 제공자 또는 정보 수령인을 상대로 청구를 제기할 수 없는 경우, 하위 처리자는, 정보주체가 하위 처리자를 정보 제공자 또는 정보 수령인인 것처럼 여겨 해당 조항에 따른 자체 처리 작업과 관련하여 정보 하위 처리자를 상대로 배상 청구를 제기할 수 있다는 데 동의합니다. 단, 승계 법인이 계약 또는 법의 운용에 따라 정보 제공자 또는 정보 수령인의 모든 법적 의무를 부담한 경우는 제외하며 해당 경우 정보주체는 해당 법인을 상대로 권리를 행사할 수 있습니다. 하위 처리자의 책임은 조항에 따른 자체 처리 작업으로 제한됩니다.

제7조 – 조정 및 관할

1.      정보 수령인은 정보주체에 대해 제3자 수익자 권리를 주장하거나 조항에 따라 손해 배상을 청구하는 경우 정보 수령인이 정보주체의 결정을 수락한다는 데 동의합니다.

(a)          독립된 개인 또는 해당되는 경우 감독기관이 분쟁을 중재에 회부.

(b)          정보 제공자가 설립된 회원국의 법원에 분쟁을 회부.

2.      당사자는 정보주체의 선택이 국내법 또는 국제법의 다른 조항에 따라 구제책을 모색할 수 있는 실질적 또는 절차적 권리를 침해하지 않는다는 데 동의합니다.

제8조 – 감독기관과의 협력

1.      정보 제공자는 감독기관이 요청하거나 해당 정보보호법에 따라 해당 기탁이 요구되는 경우 이 계약의 사본을 감독기관에 기탁하는 데 동의합니다.

2.      당사자들은 감독기관이 정보 수령인 및 하위 처리자에 대해, 해당 정보보호법에 따라 정보 제공자의 감사에 적용되는대로 동일한 범위이고 동일한 조건에 적용되는 감사를 진행할 권리가 있다는 데 동의합니다.

3.      정보 수령인은 2항에 따라 정보 수령인 또는 하위 처리자의 감사를 수행할 수 없게 하는, 정보 수령인 또는 하위 처리자에게 적용되는 법률의 존재를 정보 제공자에게 즉시 알려야 합니다. 해당 경우, 정보 제공자는 5(b)조에서 예견된 조치를 취할 권리가 있습니다.

제9조 – 준거법

이 조항은 정보 제공자가 설립된 회원국 법률의 지배를 받습니다.

제10조 – 계약의 변경

당사자는 조항을 변경하거나 수정하지 않을 것을 약속합니다. 이것은 당사자들이 조항과 모순되지 않는 한 필요한 경우 사업 관련 문제에 대한 조항을 추가하는 것을 배제하지 않습니다.

제11조 – 하위 처리

1.      정보 수령인은 정보 제공자의 사전 서면 동의 없이 조항에 따라 정보 제공자를 대신하여 수행되는 처리 작업을 하도급할 수 없습니다.  정보 수령인이 정보 제공자의 동의를 얻어 조항에 따른 의무를 하도급하는 경우, 정보 수령인에게 부과되는 것과 동일한 의무를 하위 처리자에 부과하는 하위 처리자와의 서면 계약을 통해야만 합니다. 하위 처리자가 해당 서면 계약에 따른 정보보호 의무를 이행하지 않는 경우 정보 수령인은 해당 계약에 따른 하위 처리자의 의무 이행에 대해 정보 제공자에 대해 전적인 책임을 져야 합니다.

2.      정보 수령인과 하위 처리자 간의 사전 서면 계약은, 정보 제공자 또는 정보 수령자가 사실상 사라지거나 법률상 존재하지 않거나 지급 불능 상태가 되었고 어떠한 승계 법인도 계약 또는 법의 운영에 의해 정보 제공자 또는 정보 수령인의 전체 법적 의무를 부담하지 않았기 때문에 정보주체가 정보 제공자 또는 정보 수령인을 상대로 6조 1항에 명시된 보상 청구를 제기할 수 없을 경우 3조에 명시된 바와 같이 제3자 수익자 조항도 제공해야 합니다. 하위 처리자의 해당 제3자 책임은 조항에 따른 자체 처리 작업으로 제한됩니다.

3.      1항에 언급된 계약의 하위 처리를 위한 정보보호 측면과 관련된 조항은 정보 제공자가 설립된 회원국 법률의 지배를 받습니다.

4.      정보 제공자는 조항에 따라 체결되고 5(j)조에 따라 정보 수령인이 통지한 하위 처리 계약 목록을 유지해야 하며, 이 목록은 최소 1년에 한 번 갱신되어야 합니다.  목록은 정보 제공자의 정보보호 감독기관에서 사용할 수 있습니다.

제12조 – 개인정보처리 서비스 해지 후의 의무

1.      양 당사자는 정보처리 서비스 제공이 해지되면, 정보 수령인에게 부과된 법률이 전송된 개인정보의 전체 또는 일부를 반환하거나 파기하는 것을 금지하지 않는 한 정보 수령인과 하위 처리자는 정보 제공자의 선택에 따라 전송된 모든 개인정보와 그 사본을 정보 제공자에게 반환하거나 파기해야 한다는 데 동의합니다. 이 경우 정보 수령인은 전송된 개인정보의 비밀성을 보장하고 전송된 개인정보를 더 이상 적극적으로 처리하지 않을 것임을 보증합니다.

2.      정보 수령인 및 하위 처리자는 정보 제공자 또는 감독기관이 요청할 경우 1항에 명시된 조치를 감사할 자료로 정보처리 설비를 제출할 것임을 보증합니다.

부속서 A: 추가 조항

1. EU 일반 개인정보보호규정: 이 조항 전체에서 1995년 EU 개인정보보호지침(Directive 95/46/EC)에 대한 원용은, 일반데이터보호규정(2016/679)(“규정“)에 대한 원용으로 해석하거나 정보 제공자가 영국(“영국“)에 설립된 경우에는 규정 또는 수시로 적용되는대로 규정을 이행 또는 보완하는 영국 현지법에 대한 원용으로 해석해야 하며, 각 경우 해당 지침의 특정 조문 또는 조항에 대한 원용은 가능하거나 적절한 경우 규정 또는 영국 현지법의 동등한 조문 또는 조항에 대한 원용으로 해석되어야 합니다.
   
   
2. 후속 하위 처리:  이 조항의 제11조의 목적을 위해 정보 제공자는 정보 수령인이 DPA에 의거하여 이 조항에 따라 수행하는 정보처리 작업의 일부 또는 전체를 하도급하는 데 동의합니다.   
   
   
3. ‘적절한‘ 국가에 설립된 정보 수령인: monday.com 주식회사가 이 조항에 따라 개인정보를 수령하고 처리하는 범위 내에서, 그리고

(i)           유럽 집행위원회(또는 정보 제공자가 영국에 설립된 경우 영국의 관련 당국에서 인정)에서 개인정보에 대한 적절한 수준의 보호를 제공하는 것으로 인정한 관할 구역에 설립되었고, 다른 국가로의 개인정보 전송에 관한 DPA의 조건이 적용되며, 따라서 해당 조항이 개인정보에 대한 적절한 수준의 보호를 제공하는 것으로 유럽 위원회가 인정하지 않는 관할권에 위치한 monday.com 주식회사의 하위 처리자로 가져온 정보를 계속해서 전송할 때에만 적용됩니다.

(ii)          유럽 위원회가 개인정보 보호를 적절한 수준으로 제공하는 것으로 인정하지 않은 관할 구역에 설립된 경우, monday.com 주식회사는 이 조항의 목적을 위한 정보 수령인이 됩니다.

• 유럽경제지역 외부에 설립된 정보 제공자: 이 조항에 따른 정보 제공자가 유럽 경제 지역 외부 관할권에 설립된 경우, 이 조항은 유럽경제지역에 거주하는 개인에 관한 개인정보 전송에 대해서만 적용됩니다. 그러한 경우, “회원국”에 대한 원용은 유럽경제지역 내에 거주하는 개인의 개인정보와 관련된 이 조항과 관련하여 정보 제공자의 처리 활동과 관해 적용 가능한 회원국에의 원용으로 해석됩니다.
  
  
• 지침: 표준계약조항의 5(a)조의 목적을 위해 DPA에 설명된 처리 및 정보 제공자와 정보 수령인이 상호 합의한 기타 서면 문서는, DPA 또는 그러한 서면 문서를 체결하는 시점에 정보 제공자를 대신하여 개인정보를 처리하도록 정보 수령인에 대한 지침을 구성합니다. 추가 또는 대체 지침은 DPA의 조건을 따릅니다.
  
  
• 정보 전송 일지 중지 및 해지: 5(a)조에 따라 정보 제공자가 개인정보 전송을 중단 또는 이 조항을 종료하려는 경우 정보 수령인에게 통지하고 정보 수령인에게 불이행을 시정할 30일의 기간(“시정 기간”)을 주어야 합니다. 시정 기간이 지난 후 정보 수령인이 불이행을 시정하지 않거나 시정할 수 없는 경우 정보 제공자는 개인정보 전송을 즉시 중단하거나 종료할 수 있습니다. 정보 제공자는 정보주체 또는 개인정보에 중대한 해를 끼칠 위험이 있다고 판단하는 경우 해당 통지를 할 필요가 없습니다.  이 섹션 6의 다른 조건에도 불구하고, 권한 있는 감독기관의 구속력 있는 결정으로 인해 이 조항이 해당 데이터 보호법에 따른 개인정보 전송에 대한 적절한 보호 장치가 아닌 경우, 입법 및 규제 변경에 따라 필요한 수정 사항에 관한 DPA가 적용됩니다.
  
  
• 정보 수령인의 지원: 정보 제공자가 전송되는 개인정보의 보호를 위해 이 조항의 적절성을 평가하고자 할 경우, 정보 수령인은 해당 평가의 목적을 위해 정보 제공자를 합리적으로 지원해야 합니다.
  
  
• 감사 권한: 정보 제공자는 정보 수령인이 DPA에 설명된 감사 조치를 준수하도록 지시함으로써 5(f)조 및 12.2조에 따라 감사 권한을 행사한다는 것을 인정하고 동의합니다.
  
  
• 스위스에서 전송: 위의 섹션 4에도 불구하고, 스위스에 설립된 정보 제공자로부터의 데이터 전송과 관련하여 이 조항은 스위스 준거법에 따라 해석됩니다. 그러한 경우, 1995년 EU 개인정보보호지침(Directive 95/46/EC)에 대한 이 조항 전체의 원용은 데이터 보호, 개인정보보호, 데이터 보안 또는 정보 제공자에 적용되는 개인에 관한 정보를 다루는 것에 관한 스위스의 관련 법률 및 정의된 용어에 대한 원용으로 해석됩니다. “회원국”에 대한 원용은 스위스에 대한 원용으로 해석해야 합니다. 위의 섹션 1을 침해하지 않고, 당사자는 나아가 해당 개인정보보호법에 따라 데이터 전송과 관련하여 “개인정보”(또는 합리적으로 동등한 용어)의 정의가 법인과 관련된 정보로 확장되며, 이 조항에서 “개인정보”에 대한 원용은 법인과 관련된 정보도 포함한다는 것에 동의합니다. 당사자는 준거법에서 요구하거나 관련 감독기관의 요청에 따라 모든 추가 조치를 실행하는 등 모든 서류를 이행하는 것을 포함하여 이 섹션 9의 효력을 부여하는 데 합리적으로 요구될 수 있는 모든 추가 조치를 취하는 데 동의합니다.

 

별첨 1

표준계약조항

정보 제공자

정보 제공자는 제공되는 개인정보의 통제자, 즉, DPA에서 “monday.com” 또는 “통제자”로 식별한 기관 또는 monday.com 고객입니다.

정보 수령인

정보 수령인은 DPA에 따라 정보 제공자를 대신하여 개인정보를 처리하는 기관 및 그 하위 처리자(DPA에서 사용된 용어와 같이)입니다.

정보주체

전송된 개인정보는 DPA에 정의된 정보주체 범주와 관련이 있습니다.

정보 범주

전송된 개인정보는 DPA에 정의된 정보 범주와 관련이 있습니다.

처리 작업

전송된 개인정보는 DPA의 부속서 1에 정의한 기본 처리 활동의 대상이 됩니다.

별첨 2

표준계약조항

다음은 4(d)조 및 5(c)조(또는 첨부된 문서/법률)*에 따라 정보 수령인이 이행한 최소한의 기술적 및 조직적 보안 조치에 대한 설명입니다.

1.   정의.

여기에 달리 정의되지 않은 대문자로 된 모든 용어는 표준계약조항 또는 계약에서 정의한 의미를 갖습니다.

“시스템“은 개인정보를 처리하는 파트너의 정보(예: 시스템 파일 시스템, 파일 솔루션)를 의미합니다.

“monday.com 시스템“은 monday.com이 파트너 또는 파트너 직원에게 접속 권한을 부여한 monday.com의 정보 시스템을 의미합니다.

2.   개인정보로 수행

2.1.  승인된 통신. 왓츠앱(WhatsApp), 아이메시지(iMessage) 또는 위트렌스퍼(WeTransfer)와 같은 비공개 채널을 개인정보처리(예: 개인정보를 제3자에게 또는 파트너 직원 간에 전송)에 사용해서는 안 됩니다. 대신 슬랙스(Slack), monday.com, 회사 이메일과 같은 업무 관련 서비스를 사용해야 합니다.

2.2.  물리적 처리. 개인정보를 물리적 형태(예: 인쇄된 문서)로 처리하는 것을 금지합니다. 

3.   엔드포인트.

3.1.  업데이트. 모든 워크스테이션은 최소한 마지막 두 버전 이내의 OS 버전을 실행해야 합니다.

3.2.  암호화. 모든 워크스테이션은 산업 표준에 따라 암호화되어야 합니다(예: 파일볼트(FileVault) 2/비트로커(BitLocker) 사용).

3.3.  맬웨어 방지. 정기적으로 업데이트되는 맬웨어 방지 솔루션을 사용하여 워크스테이션을 보호해야 합니다.

3.4.  화면 잠금. 워크스테이션은 10분 이하의 잠금 화면 제한 시간으로 구성해야 합니다.

4.   물리적 보호.

4.1.  장치 물리적 보호.monday.com의 데이터에 접속할 수 있는 장치(예: 노트북 및 모바일 장치)는 특히 파트너의 사무실에서 꺼내는 경우 안전하게 취급해야 합니다. 해당 장치를 공공 장소나 차량 내부에 방치해서는 안 됩니다.

4.2.  이동식 미디어. 하드 디스크, USB 및 썸 드라이브와 같은 이동식 미디어를 사용하여 개인정보를 저장하거나 전송해서는 안 됩니다.

4.3.  분실 또는 도난 신고. 파트너는 개인정보에 접속하는 데 사용할 수 있는 장치를 분실하거나 도난 당한 경우 monday.com 보안팀에 즉시 통지해야 합니다. 통지 방법은 이메일(securityteam@monday.com)을 통해서입니다.

5.   접속 제어. 

5.1.  프로비저닝 및 프로비저닝 해제. 파트너는 “알 필요”를 기준으로 시스템에 대한 접속 권한이 부여되도록 설계되었으며 고용 종료 또는 파트너 직원의 고용 변경 후 즉시 취소되는 접속관리시스템을 구현해야 합니다. 시스템 접속은 1년에 한 번 검토하여 모든 기존 접속이 적절한지 확인해야 합니다.

5.2.  고지. 파트너는 monday.com 시스템 접속 권한이 있는 파트너 직원의 고용이 종료되거나 monday.com 시스템 접속이 더 이상 필요하지 않아 파트너 직원의 역할이 변경되면 monday.com이 해당 접속 권한을 취소할 수 있도록 즉시 채널 관리자에게 서면으로 고지해야 합니다.

5.3.  자격 증명. 파트너는 직원에게 다음 비밀번호 방침을 시행해야 합니다.

i. 복잡성. 비밀번호는 12자 이상으로 대문자(ABC), 소문자(abc), 숫자(0-9), 특수 문자 (!@#$%^&*) 중에서 3개 이상의 범주에 있는 문자를 포함해야 합니다.

ii. 저장. 자격 증명은 브라우저나 종이 서식 등 안전하지 않은 방식으로 저장해서는 안 됩니다.

iii. 교체. 비밀번호는 최소 1년에 한 번 교체해야 합니다.

5.4.  다단계 인증(MFA). 시스템에 다단계 인증을 적용해야 합니다.

5.5.  모바일 장치. 개인정보에 접속하는 데 사용되는 스마트폰은 PIN 코드 또는 비밀번호로 보호해야 합니다.

6.   인적 자원.

6.1.  비공개 유지 약속. 파트너의 직원은 모두 고용 계약의 일부로 비공개 유지 의무를 지켜야 합니다.

6.2.  인식 및 교육. 파트너는 서비스를 통해 여기에 명시된 보안 요건을 모든 파트너 직원에게 주기적으로 전달해야 합니다.

7. 예외.

여기에 명시된 요건과 일치하지 않는 모든 활동은 monday.com의 보안 팀에 securityteam@monday.com으로 즉시 알려야 합니다.

*정보 수령인이 기술적 및 조직적 추가 보안 조치를 구현하는 경우 해당 조치를 securityteam@monday.com 주소로 제공합니다.

면책 고지: 이 버전은 오로지 편의 목적으로 제공되는 영어 원문의 번역본입니다. 공식적이고 법적 구속력이 있는 것은 영어 원문 버전이며, 서로 일치하지 않을 경우 영어본이 우선합니다.